Боты Mozi готовы начать DDoS-атаку

МЕНЮ


Искусственный интеллект
Поиск
Регистрация на сайте
Помощь проекту

ТЕМЫ


Новости ИИРазработка ИИВнедрение ИИРабота разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика

Авторизация



RSS


RSS новости

Новостная лента форума ailab.ru


Китайские исследователи обнаружили новый p2p-ботнет, составленный из роутеров и IoT-устройств. Анализ лежащей в его основе вредоносной программы показал, что ее создатели позаимствовали часть кода Gafgyt/BASHLITE, в том числе реализацию функциональности, позволяющей проводить DDoS-атаки.

Linux-боты, которым в Qihoo 360 присвоили кодовое имя Mozi, распространяются посредством подбора паролей к службе Telnet, а также с помощью эксплойтов к давним уязвимостям, которые до сих пор присутствуют в некоторых подключенных к Интернету устройствах. За четыре месяца наблюдений специалисты компании выявили три версии Mozi, которые различаются лишь способом атаки на Telnet.

Список эксплойтов, которыми оперируют боты, содержит десяток позиций, в том числе CVE-2014-8361 (для устройств, использующих Realtek SDK), CVE-2016-6277 (роутеры Netgear R7000 и R6400), CVE-2017-17215 (Huawei HG532), CVE-2018-10561 и CVE-2018-10562 (GPON-роутеры Dasan). В этот перечень также входят три эксплойта для цифровых видеорегистраторов разных производителей.

Функции Mozi определены в конфигурационном файле. Как показал анализ, зловред способен:

  • генерировать мусорные запросы, создавая общий DDoS-поток типа HTTP flood, TCP flood, UDP flood;
  • собирать и сообщать пирам данные о заражении (ID бота, IP-адрес, порт, имя файла и полный путь, шлюз, архитектура ЦП);
  • загружать с указанного URL полезную нагрузку и запускать ее на исполнение;
  • загружать обновления с указанного URL;
  • выполнять системные или специальные команды.

Зловред также умеет защищаться от конкуренции, блокируя доступ к зараженному устройству по SSH и Telnet. Чтобы воспрепятствовать угону ботнета, авторы Mozi предусмотрели проверку подлинности и целостности синхронизируемых конфигурационных файлов. Каждый из них заверяется цифровой подписью, создаваемой по алгоритму ECDSA, 384-битные ключи которого вшиты в код зловреда и зашифрованы путем выполнения операции XOR.

Ботнет на основе Mozi построен как одноранговая сеть, при этом обмен информацией между пирами осуществляется по протоколу DHT. Из известных IoT-зловредов такой же способ распространения файлов используют Hajime и Rex, однако ботоводы Mozi создали собственный, расширенный вариант DHT, чтобы скрыть раздачу полезной нагрузки в обычном DHT-трафике.

Новый Linux-зловред общается с другими пирами, оперируя списком из восьми доступных адресов (IP и доменов), — таких групп в разных вариациях пока зафиксировано восемь. В конфигурационном файле Mozi также обозначены узлы начальной загрузки, через которые новоявленный бот может подключиться к p2p-сети.

Размеры ботнета, попавшего в поле зрения Qihoo 360 в начале сентября, неизвестны, однако исследователям удалось внедрить в него свой пир, и они надеются в скором времени получить представление о количестве активных узлов Mozi. Все собранные на настоящий момент данные пока лишь свидетельствуют о том, что число заражений растет.


Источник: m.vk.com

Комментарии: